Na deel 1 (basisveiligheid) en deel 2 (plugins) nu het laatste deel over het beveiligen (oftewel: security) van je WordPress website: de configuratie.
De instellingen van je mappen
Over het algemeen gaat dit deel automatisch goed als je WordPress installeert: zorg dat de restricties van je bestanden en mappen (files en folders) goed staan. De aanbevolen instelling voor bestanden is 755 en voor folders 644. Meestal kun je dit via FTP of via je hosting inlog aanpassen.
Je config file: security voor je inloggegevens
In je config file staan je database inloggegevens – in normale tekst. Het is dus van belang dat je deze file beveiligt!
Dat kan door je .htaccess bestand aan te passen door de volgende code toe te voegen:
<files wp-config.php> order allow,deny deny from all </files>
Database prefix
Standaard beginnen de WordPress tabellen in de database met “wp_”. Voor een betere database security om je website/database te beveiligen tegen mogelijke indringing (bekend als SQL injection attack), moeten de tabellen beginnen met een andere prefix. Dat kan gewoon een random combinatie van 2 tot 4 letters zijn – je hoeft het verder niet te onthouden.
Schakel bewerken vanuit je dashboard uit
Vanuit je dashboard kun je standaard de bestanden van je thema en plugins bewerken via weergave –> editor. Mocht iemand ondanks alle security maatregelen weten in te loggen in je website, dan kan deze dus via de site ook deze files aanpassen. En dat is niet de bedoeling!
Deze mogelijkheid kun je uitschakelen in je config file. Je moet daarvoor de volgende regel toevoegen:
define('DISALLOW_FILE_EDIT', true);
En, is het gelukt met het beveiligen van je site om de security op orde te hebben? Houd je het voorlopig bij de basis beveiliging? Of heb je al plugins geïnstalleerd? Mocht je nog hulp nodig hebben, dan kan dat van je strippenkaart of via het beveiligingspakket.